Kişisel Verilerin Güvenliği

Kişisel Verilerin Korunması Kanunu

Giriş

7.Nisan.2016 tarih ve 29677 sayılı Resmi Gazete’de “Kişisel Verilerin Korunması Kanunu” yayımlanarak yürürlüğe girmiştir. Anılan Kanun ile; kişisel verilerin sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmaktadır. Buna ilişkin olarak da 30.Aralık.2017 tarihinde 30286 sayılı resmi gazetede uygulamaya ilişkin yönetmelik yayınlanmıştır.

Kişisel Veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Her türlü bilgi deyimi ile aslında sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil, aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin bilgiler de kastedilmektedir. Bu kapsamda, gerçek bir kişinin motorlu taşıt plakası, mülakat sonuçları, kullandığı elektronik cihazların IP adresleri, ses ve görüntü kayıtları, konum bilgisi, adli sicil kaydı, kredi kartı ekstreleri, sosyal medya beğenileri, parmak izleri, takma isimler veya lakaplar tek başına veya başka kaynaklarla birleştirildiğinde kişiyi tanımlaya yetecek düzeyde ise bu bilgiler de kişisel veri olarak tanımlanmaktadır.

Kişisel Verilerde temel ilkeler vardır:

** Hukuka ve dürüstlük kurallarına uygun olma

** Doğru ve gerektiğinde güncel olma

** Belirli, açık ve meşru amaçlar için işlenme

** İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

** İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Bu kanunla kişisel verilerin işlenmesi disiplin altına alınarak sınırsız biçimde ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması, ifşası veya amaç dışı ya da kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amaçlanmakta, bu amaçla kişisel verilerin işlenmesine ilişkin denetim mekanizmaları oluşturularak, bu verilerin hukuka aykırı olarak işlenmesinin engellenmesi hedeflenmektedir.

Yukarıda bahsedilen tüm bu işlemler için ilgili bakanlık VERBİS isimli bir sistem kurmuştur. (buradan detayına ulaşabilirsiniz) İlgili şirketlerde, kuruluşlarda ve kurumlarda, verilerin saklanmasından sorumlu olan bir veya birkaç kişi olacaktır. Bu kişiler ilgililerce belirlenip Veri Sorumluları Sicili, Veri Sorumluları Sicil Bilgi Sisteminde (VERBİS) tutulacaktır. VERBİS’e kayıt yalnızca websitesi üzerinden yapılabilecektir.

VERBİS’e kayıt olacaklar ve muaf tutulacaklar

İlke olarak tüm kişisel veri işleme faaliyetlerinin Sicil’e (VERBİS) kayıt olması gerekir. Ancak her kanunda olduğu gibi birçok kapsam nedeniyle bu konuda da muafiyetler mevcuttur. (Kısaca kayıt olmak zorunda değiller)

Bunlara genel olarak değinmek gerekirse:

  • Herhangi bir veri kayıt sisteminin parçası olmak kaydıyla yalnızca otomatik olmayan yollarla kişisel veri işleyenler
  • 1512 Sayılı Noterlik Kanunu’na göre kurulmuş olan Noterler
  • 5253 Sayılı Dernekler Kanunu’na göre kurulmuş olan Dernekler
  • 5737 Sayılı Vakıflar Kanunu’na göre kurulmuş olan Vakıflar
  • 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’na göre kurulmuş Sendikalardan yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı ve sadece kendi çalışanlarına, üyelerine, mensuplarına, bağışçılarına yönelik kişisel verileri işleyenler

  • 2820 Sayılı Siyasi Partiler Kanunu’na göre kurulmuş olan Siyasi Partiler
  • 1136 Sayılı Avukatlık Kanunu gereği faaliyet gösteren Avukatlar
  • 3568 Sayılı SMMM ve YMM Kanunu uyarınca faaliyet gösteren SMMM’ler ve YMM’ler 
  • 4458 Sayılı Gümrük Kanunu uyarınca faaliyet gösteren Gümrük Müşavirleri ve Yetkilendirilmiş Gümrük Müşavirleri
  • Yıllık Çalışan Sayısı 50 (Elli)’den az ve Yıllık Mali Bilanço (Aktif) toplamı 25milyon TL’den az olan gerçek ve tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar

VERBİS’e ne zaman kayıt olunacak?

Yasa gereği, Sicile kişisel veriler işlenmeye başlanmadan kayıt olunması esastır. Yeni kurulan bir kurum ya da kuruluş Sicile kayıttan muaf tutulmamışsa herhangi bir kişisel veri işlemi yapmadan önce Sicile kayıt olmalıdır. Bununla birlikte, Sicile zaten kayıtlı olan ancak yeni bir iş süreci için kişisel veri işlemeye başlayacak olan veri sorumlusu da yeni durumu Sicile kaydettirmek zorundadır. [Burada ifade edilen, şirket tescili Mersis’te tamamlanan ve tescil işlemi başarıyla tamamlanan gerçek ve tüzel kişiler hızlıca tescil tarihinde, Faaliyet alanına veri işlemeyi ekleyen işletmeler ise Anasözleşme Tadil işlemi tescil işlemi akabinde]

Yapılan faaliyet gereği ya da Kurulun sonradan Sicile kayıt yükümlülüğü getirdiği veri sorumluları, Sicile kayıt yükümlüsü oldukları günü müteakip 30 (otuz)gün içerisinde Sicile kaydolmak zorundadır.

Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkansızlık nedeniyle (mücbir sebep) kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkansızlığın ortaya çıktığı tarihten itibaren en geç 7 (yedi) iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her durumda 30 (otuz)günü geçmemek üzere ek süre verebilir.

Sicile kayıt olmak için verilen 30 (otuz)günlük süreden sonra yapılacak ek süre başvurularında fiili, teknik ya da hukuki imkansızlığın gerçekleştiği gün çok önemlidir. Ek süre verilebilmesi için imkansızlığın 30 günlük süre içerisinde ortaya çıkmış olması gerekir. Kuruma başvurunun da sorunun ortaya çıktığı tarihten sonraki yedi gün içerisinde yapılması gerekir. Sorunun devam ettiği sürenin 30 günlük süreye eklenmesi yani Kurum tarafından en az o kadar gün süre verilmesi gerekir. Kurum’un vereceği ek süre 30 (otuz)günlük normal sürenin bitiminde başlar. Yani her durumda Sicile kayıt yükümlülüğünün 60 (altmış)gün içinde yerine getirilmesi gerekir. Bahse konu problemin Kurum’un verebileceği en uzun süre olan 30 (otuz)gün içerisinde giderilememesi ve veri sorumlusunun bu durumun oluşmasında ya da sürmesinde kusurunun bulunmaması durumunda Kurumun veri sorumlusuna idari para cezası vermesi mümkün değildir.

Sicil kayıt belirlenen veri sorumluları için 1.Ekim.2018 tarihinde başlayacaktır. Kanun’un geçici maddesinde tarihin ve sürenin Kurum tarafından belirleneceği ve ilan edileceği yazmaktadır. Kurum internet sitesinden kayıtların başlama tarihi ve süresi ilan edildi. Kayıtlar ilan edilen tarihten sonra ve belirlenen süre içerisinde yapılmalıdır.

Veri Sorumlularının Niteliğine göre sicile kayıt başlangıç ve bitiş tarihleri

Veri Sorumlusu Başlangıç Tarihi Bitiş Tarihi
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den fazla olan veri sorumluları

01.10.2018

30.09.2019

Yurt dışında yerleşik gerçek ve tüzel kişi veri sorumluları

01.10.2018

30.09.2019

Yıllık çalışan sayısı 50’den ve yıllık mali bilanço toplamı 25 milyon TL’den düşük olan ancak ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumluları

01.01.2019

31.03.2020

Kamu kurum ve kuruluşları

01.04.2019

30.06.2019

VERBİS’e nasıl kayıt olunacak?

Türkiye’de yerleşik olan veri sorumluları doğrudan, Türkiye’de yerleşik olmayan veri sorumluları ise yetkilendirecekleri temsilcisi vasıtasıyla Sicile kayıt olurlar.

Türkiye’de yerleşik olan veri sorumluları ilgili mevzuatlarına uygun şekilde tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirecekler. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca ilgili organın sorumluluğunu ortadan kaldırmaz.

Türkiye’de yerleşik olmayan veri sorumluları ise yetkili organı veya kişisi tarafından alınacak kararla temsilci atarlar. Atama kararında

  • Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme
  • Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme
  • Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma

gibi hususlarının bulunması gerekir. Atama kararının tasdikli örneği kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulmalıdır.

Bu arada sicile kayıt ücretsizdir. Herhangi bir şekilde veyahut herhangi bir sebep ile para ödenmemektedir.

VERBİS’e nasıl kayıt olmamanın yaptırımı nedir?

Sicile kayıt olmak zorunda olan veri sorumlusunun kayıt olmaması durumunda ya da kaydın yönetmelikte belirlenen şartları sağlamaması durumunda 20.000 TL (yirmi bin lira) ile 1.000.000 TL (bir milyon lira) arasında idari para cezası verilir.

Bu durumlar arasında Sicile kaydın zamanında yapılmaması, kişisel veri işleme faaliyetlerinin eksik ya da yanlış bildirilmesi, olan değişikliklerin zamanında bildirilmemesi gibi durumlar sayılabilir. Kurul idari para cezasının miktarını aykırılığın önemine, veri sorumlusunun özelliklerine göre objektif olarak belirler.

[En Teknik Bölüm] İrtibat Kişisi

İrtibat kişisi Kanun’da tanımlanmamıştır.

Yönetmelikte tanımların yapıldığı 4’ncü maddede: “Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi” olarak tanımlanırken İrtibat kişisinin yükümlülüklerinin düzenlendiği 11’nci maddenin 4’üncü fıkrasında: Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.” düzenlemesi yapılmıştır.

Tanım ile düzenleme arasında bir aykırılığın bulunması durumunda tanımı da kapsayan ama daha özel olan Madde 11/4’ün uygulanması gerekir.

Buna göre sadece Türkiye’de yerleşik olan veri sorumluları irtibat kişisi bildirmek zorundadır. Ancak VERBİS ile ilgili yapılan sunumda Türkiye’de yerleşik olmayan kişilerin temsilcilerinin de irtibat kişisi bildirmesi gerekiyor. İrtibat kişisi gerçek bir kişidir. Veri sorumlusu bünyesinde bir bölüm ya da e-posta adresi, telefon numarası olamaz. İrtibat kişisi ve veri sorumlusu ilişkisi bire bir şeklindedir. Yani her veri sorumlusu bir irtibat kişisi bildirebilir ve her irtibat kişisi sadece bir veri sorumlusunun irtibat kişisi olabilir. Örneğin bir şirketler grubunun her şirketi farklı bir irtibat kişisi bildirmek zorundadır.

İlgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlayacaktır. İrtibat kişisinin değişmesi durumunda Sicil’deki bilgilerde değişiklik yapılması gerekeceğinden 7(yedi) gün içinde Sicil’deki bilgilerin güncellenmesi gerekir. İrtibat kişisi bilgisinin yanlış olması durumunda da idari para cezası uygulanır.

İrtibat kişisi Avrupa Birliği mevzuatındaki Kişisel Verileri Koruma Görevlisi (Data Protection Officer) değildir. İrtibat kişisinin Avrupa Birliği mevzuatındaki sorumluluk ve yükümlülükleri gibi sorumluluk ve yükümlülükleri yoktur. Hatta Kurul açısından irtibat kişisi muhatap olmadığından irtibat kişisinin sorumlu tutulduğu iletişimi sağlama görevinin yerine getirilmemesinden dolayı da veri sorumlusunu cezalandırılamaz.

Veri Sorumlusunun Durumunda Değişiklik Olursa Ne Yapılacak

Veri sorumlusunun kişisel verileri işleme faaliyetlerinde değişiklik olacaksa ya da bildirilen bilgilerin güncellenmesi gerekiyorsa güncelleme yedi gün içinde yapılmalıdır.

Kişisel veri işlemeye başlamadan önce Sicile kayıt gerektiğinden kişisel veri işleme faaliyetlerindeki değişiklikler hayata geçmeden Sicil değişikliğinin yapılması gerekir.

Yedi günlük süre mevcut olan bilgilerdeki değişiklikler için geçerlidir. Örneğin veri sorumlusunun adresinin değişmesi, irtibat kişisinin değişmesi, veri sorumlusunun faaliyetine son vermesi, alınan güvenlik tedbirleri gibi.

Sicilden Silinme Nasıl Olacak

Veri sorumlusunun Sicil’e kayıt olmasını gerektiren şartlar ortadan kalkarsa (kişisel veri işleme faaliyetinin sona ermesi, Kurul tarafında muafiyet tanınması, mevzuat sonrası muaf tutulması gibi), veri sorumlusu sicilin silinmesi için Kurum’a başvurabilir.

Başvuru kabul edilirse kayıtlar üzerinde değişiklik yapabilme hakkı olmayan farklı bir yapıya geçirilerek Sicil’den silinir.

Silinen kayıtların kamuya açık olup olmadığı ile ilgili bir düzenleme yönetmelikte yapılmamakla birlikte ilgili kişilerin haklarını kullanabilmeleri için kamuya açık olması gerekir.

Veri Sorumlusu İle İletişim Nasıl Olacak

Türkiye’de yerleşik tüzel ve gerçek kişiler için, Sicile bildirilen kimlik, adres veya KEP Adresi bilgileri üzerinden, Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi üzerinden gerçekleştirilir.